【資訊安全】金融機構運用新興科技作業規範（Part 1）

隨著資訊科技日新月異，數位服務不斷推陳出新，許多金融機構順應趨勢，開始運用各種新興科技。中華民國銀行商業同業公會全國聯合會（以下簡稱「銀行公會」）為了協助銀行管理新興科技，特訂定《金融機構運用新興科技作業規範》（金管銀外字第1090134542號函），提供公會會員一個治理架構。

本文將以外部評估單位的角度，逐條說明作業規範內容，並提出評估方式供讀者參考。建議讀者上網查詢有無最新法規（參考連結）。

第一條
中華民國銀行商業同業公會全國聯合會（以下簡稱本會）為協助會員銀行適當管理運用新興科技之風險，以促進銀行業務健全經營，特定訂本規範。

第一條說明作業規範的立法理由，目的是協助會員銀行管理運用新興科技的風險。

第二條 雲端服務安全控管
一、 用詞定義如下：
（一）軟體即服務（SaaS）：雲端服務業者提供軟體使用，承租人能使用軟體，但並不掌控軟體、作業系統、硬體。
（二）平台即服務（PaaS）：雲端服務業者提供作業系統使用，承租人能於此作業系統操作其軟體，可掌控運作軟體的環境也擁有作業系統部分掌控權，但並不掌控作業系統、硬體。
（三）基礎設施即服務（IaaS）：雲端服務業者提供基礎運算資源（如處理能力、儲存空間、網路元件或中介軟體），承租人能掌控作業系統、儲存空間、已部署的應用程式及網路元件（如防火牆、負載平衡器等）， 但並不掌控雲端基礎運算資源。

第二條是雲端服務的安全控管準則。第一項是名詞定義，包含軟體即服務（如Gmail、Dropbox）、平台即服務（如Windows Azure）和基礎設施即服務（如AWS EC2）。

二、 雲端服務係指雲端服務業者以租借方式提供個人或企業得承租其網路設備、伺服器、儲存空間、資安設備、系統軟體、應用程式、分析與計算等資源，以達資源共享之服務。

第二項是雲端服務的定義，如果受評機構向雲端服務業者承租資源（如雲端運算），則可能適用雲端服務安全控管原則。目前國內多數銀行尚未採用雲端服務，其實不適用雲端服務安全控管的規定。

三、本安全控管範圍不包含僅提供銀行內部使用之服務。

第三項說明作業規範的適用範圍，如果雲端服務僅提供銀行內部使用（如雲端儲存空間），則不在作業規範的適用範圍；如果雲端服務涉及對外提供服務（如在雲端伺服器部屬網路銀行系統），則在安全控管範圍中。

四、 應制定雲端服務管理政策，至少每年檢視一次。

第四項要求銀行制定雲端服務管理政策，並且每年檢視一次。多數銀行的雲端服務管理政策直接引用作業規範，並於銀行公會發布作業規範時修訂政策。評估人員應向受評機構徵求雲端服務管理政策，並確認政策內容是否與現行作業規範相符。

五、 應確保作業風險控管，充分評估雲端服務業者處理之風險，採取適當風險管控措施，確保作業品質，並應注意作業委託雲端服務業者之適度分散。

第五項與風險管理有關，銀行應確保作業風險受到適當控管，並適度分散雲端服務供應商。銀行採用雲端服務前及採用後，應進行風險評估（如針對雲端服務供應商過於集中進行風險評估）、決定可接受風險等級、擬定風險處理計畫、執行風險處理計畫。評估人員應向受評機構徵求風險評估紀錄及風險處理計畫。